ISAServer2004FAQ：管理.doc

Q. 我怎么在ISA Server中允许某人执行一些特定的任务，但是不是全部的任务？ A. ISA Server提供了基于角色的管理，你可以使用Windows的用户和组来为用户指定权限。你可以为允许执行全部管理任务的用户分配完全管理员角色；为允许执行监控、日志配置、警告定义和导入导出安全配置信息的用户分配扩展监控角色；为允许看到监控信息但不允许配置的用户分配基本监控角色。 Q. 我怎么样远程控制我的ISA Server 计算机？ A. 你可以使用终端服务或者远程桌面来连接到ISA Server计算机。另外，你还可以使用ISA Server的管理控制台MMC来远程控制ISA Server。有两条系统策略允许远程管理ISA Server计算机：一条是MMC管理，一条是终端服务管理。你可以添加需要远程控制ISA Server的计算机到预定义的远程管理计算机集中。 Q. 在导入/导出和备份/恢复之间的不同是什么？ A. 导入/导出和备份/恢复的性质是一样的，不过应该使用在不同的环境。你可以使用导入/导出来保存和导入完整的或者部分的ISA Server配置，也可以使用在全部的防火墙策略、系统策略和选择的规则上。机密信息是加密的，信息导出到一个.xml文件中，然后从这些文件中导入。导入/导出主要用于复制服务器设置或者为了查找故障而将设置导出到一个文件中。 而备份/恢复允许你保存和恢复最多的配置信息。备份会保存ISA Server的设置信息、缓存配置和VPN配置。这些配置信息将保存在本地的一个.xml文件中。备份/恢复的主要用于故障恢复，并且我们推荐你在任何主要的修改后备份你的配置，例如修改网络定义、缓存配置或者系统策略等等。 Q. ISA Server使用了什么服务？ A. 当你安装ISA Server后，将会安装以下的服务： Microsoft Firewall service. Wspsrv.exe (fwsrv).支持防火墙和SNAT客户的请求； Microsoft ISA Server Control service. Mspadmin (isactrl).负责重启其他ISA Server服务，产生警告，执行动作和删除日志文件； Microsoft ISA Server Job Scheduler service. W3Prefch.exe (isasched). 执行从Web服务器下载内容到缓存中； Microsoft Data Engine (MSDE). 使用MSDE格式来保存日志信息； ISA Server Storage service. Isastg.exe (isastg). 负责管理ISA Server配置存储的读写操作，基于注册表和一些存储的文件； Q. ISA Server会在什么时候进入锁定模式？ A. 当防火墙服务关闭或者被手动停止时，会进入锁定模式。当防火墙服务重启，ISA Server会离开锁定模式，继续它以前的功能。关于锁定模式的影响，请阅读ISA Server的帮助。所有在锁定模式中对ISA Server配置做的修改只有在ISA Server离开锁定模式后才会生效。 Q. 防火墙服务运行在什么系统账户？ A. 防火墙服务（和ISA Server服务）运行在网络服务账号下。 Q. 网络服务账号需要特定的权限吗？ A. 为了在一台Windows Server 2003上安全的工作，网络服务账号需要以下权限： 对HKEY_LOCAL_MACHINE\Software\SDTI\ACECLIENT键的读写权限； 对%SystemRoot%\system32\sdconf.rec的读权限； Q. 我刚刚建立了一件阻止指定流量的规则，过去有个允许这些流量的策略，并且在我检查时，我发现新建的阻止规则没有正常工作，为什么会这样？ A. 因为你的设计。当你新建一个规则的时候，规则应用在新建的连接上，而不是已经建立好的连接。如果现有的连接仍然是活动的，那么就会出现你所描述的情况。你可以等几分钟，等到连接超时，关闭现有的会话或者重启服务来强制关闭过去的连接。 Q. 当我在强制使用IPSec的环境中安装ISA Server后，ISA Server可以在短时间内使用远程管理，但是在IPSec会话过期后，将不能使用远程管理，为什么会这样？ A. ISA Server不允许Internet Key Exchange (IKE)传输，因此IPSec会话将不能被更新。在商用环境中，为了在IPSec环境中使用ISA Server的远程管理，你必须建立一个规则允许IKE协议到本地主机。在ISA Server的工具箱中，已经预定义了UDP端口500 （SendReceive)的I